4 janvier 2024
Le règlement européen DORA (Digital Operational Resiliency Act) entre en vigueur en janvier 2025. Il vise à unifier la gestion des risques informatiques dans le secteur financier, et va pour cela imposer de nouvelles obligations à un grand nombre d'acteurs du secteur financier.
Pour vous permettre de déterminer si vous êtes ou non concerné par ce règlement (et si vous devez réfléchir aux changements à mettre en place dans votre organisation pour vous mettre en conformité avec le règlement DORA), vous trouverez ci-dessous la liste des acteurs concernés.
Entreprises concernées par le règlement DORA
Voici les entités qui devront se conformer au règlement DORA à partir de janvier 2024 :
- Les établissements de crédit;
- Les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366;
- Les prestataires de services d’information sur les comptes;
- Les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE;
- Les entreprises d’investissement;
- Les prestataires de services sur cryptoactifs agréés en vertu du règlement du Parlement européen et du Conseil sur les marchés de cryptoactifs, et modifiant les règlements (UE) no 1093/2010 et (UE) no 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 («règlement sur les marchés de cryptoactifs») et les émetteurs de jetons se référant à un ou des actifs;
- Les dépositaires centraux de titres;
- Les contreparties centrales;
- Les plates-formes de négociation;
- Les référentiels centraux;
- Les gestionnaires de fonds d’investissement alternatifs;
- Les sociétés de gestion;
- Les prestataires de services de communication de données;
- Les entreprises d’assurance et de réassurance;
- Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire;
- Les institutions de retraite professionnelle;
- Les agences de notation de crédit;
- Les administrateurs d’indices de référence d’importance critique;
- Les prestataires de services de financement participatif;
- Les référentiels des titrisations;
- Les prestataires tiers de services TIC (technologies de l'information et de la communication)
Exceptions à l'application du règlement DORA
Le règlement exclut expressément de son application certains acteurs :
- Les gestionnaires de fonds d’investissement alternatifs visés à l’article 3, paragraphe 2, de la directive 2011/61/UE, c'est-à-dire
- Les gestionnaires qui gèrent, directement ou indirectement, par l’intermédiaire d’une société avec laquelle ils sont liés dans le cadre d’une communauté de gestion ou de contrôle, ou par une importante participation directe ou indirecte, des portefeuilles de FIA dont les actifs gérés, y compris les actifs acquis grâce à l’effet de levier, ne dépassent pas un seuil de 100 000 000 EUR au total ; ou
- Les gestionnaires qui gèrent, directement ou indirectement, par l’intermédiaire d’une société avec laquelle ils sont liés dans le cadre d’une communauté de gestion ou de contrôle, ou par une importante participation directe ou indirecte, des portefeuilles de FIA dont les actifs gérés ne dépassent pas un seuil de 500 000 000 EUR au total si les portefeuilles des FIA sont composés des FIA qui ne recourent pas à l’effet de levier et pour lesquels aucun droit au remboursement ne peut être exercé pendant une période de cinq ans à compter de la date de l’investissement initial dans chaque FIA.
- Les entreprises d’assurance et de réassurance visées à l’article 4 de la directive 2009/138/CE;
- Les institutions de retraite professionnelle qui gèrent des régimes de retraite qui, ensemble, ne comptent pas plus de quinze affiliés au total;
- Les personnes physiques ou morales exemptées en vertu des articles 2 et 3 de la directive 2014/65/UE;
- Les intermédiaires d’assurance, intermédiaires de réassurance et intermédiaires d’assurance à titre accessoire qui sont des microentreprises ou des petites ou moyennes entreprises;
- Les offices des chèques postaux visés à l’article 2, paragraphe 5, point 3), de la directive 2013/36/UE
En plus de ces exemptions, l'article 2 alinéa 4 du règlement DORA permet aussi que les États membres aient la possibilité d'exclure expressément certains acteurs du champ d'application du règlement.